Les chercheurs ont révélé une faille de sécurité affectant trois plugins WordPress différents qui ont un impact sur plus de 84 000 sites Web et pourraient être abusés par un acteur malveillant pour prendre le contrôle de sites vulnérables.

« Cette faille a permis à un attaquant de mettre à jour des options de site arbitraires sur un site vulnérable, à condition qu’il puisse tromper l’administrateur d’un site pour qu’il effectue une action, telle que cliquer sur un lien », a déclaré la société de sécurité WordPress Wordfence dans un rapport publié la semaine dernière.

Suivie sous le nom CVE-2022-0215, la faille de falsification de requête intersite (CSRF)est notée 8,8 sur l’échelle CVSS et affecte trois plugins :

• Login / Signup Popup : installé sur plus de 20 000 sites ;
• Side Cart Woocommerce : installé sur plus de 4 000 sites ;
• Waitlist Woocommerce : installé sur plus de 60 000 sites.

La falsification de requêtes intersites, également connue sous le nom d’attaque en un clic ou d’activation de session, se produit lorsqu’un utilisateur final authentifié est trompé par un attaquant pour soumettre une requête Web spécialement conçue. Et si la victime est un compte administratif, le CSRF peut compromettre l’ensemble de l’application Web.

En particulier, la vulnérabilité trouve son origine dans un manque de validation lors du traitement des requêtes AJAX, permettant ainsi à un attaquant de mettre à jour l’option « users_can_register » (c’est-à-dire que n’importe qui peut s’inscrire) sur un site à vrai et de définir le paramètre « default_role » (c’est-à-dire le rôle par défaut des utilisateurs qui s’inscrivent sur le blog) sur administrateur, accordant un contrôle complet.

Suite à la divulgation responsable par les chercheurs de Wordfence en novembre 2021, le problème a été résolu dans Login / Signup Popup version 2.3, Side Cart Woocommerce version 2.1 et Waitlist Woocommerce 2.5.2.

Les résultats surviennent un peu plus d’un mois après que les attaquants ont exploité les faiblesses de quatre plugins et de 15 thèmes Epsilon Framework pour cibler 1,6 million de sites WordPress dans le cadre d’une campagne d’attaque à grande échelle provenant de 16 000 adresses IP.

Bien que cette vulnérabilité CSRF (Cross-Site Request Forgery) soit moins susceptible d’être exploitée en raison du fait qu’elle nécessite une interaction de l’administrateur, elle peut avoir un impact significatif sur un site exploité avec succès, pour cela il est important de rester conscient lorsque vous cliquez sur des liens ou des pièces jointes et pour vous assurer que vous maintenez régulièrement vos plugins et thèmes à jour.